2024年赫尔辛基发生大规模数据泄露事件，影响超过30万人。芬兰国家网络安全中心（NCSC-FI）深入调查并提供技术支持，分享了应对策略和经验教训。文章揭示了事件的起因、影响范围、NCSC-FI的应对措施，以及对未来网络安全事件的启示。通过对事件的分析，文章强调了边缘设备安全、事件响应准备的重要性，并提出了关于事件响应团队构建的建议，为类似的网络安全挑战提供了宝贵的参考。

🛡️事件始末：2024年4月30日晚，赫尔辛基市报告潜在数据泄露事件。5月2日，官方确认教育部门（KASKO）受影响。调查显示，黑客利用思科ASA 5515防火墙设备的漏洞，通过暴力破解和远程连接进入内部系统，窃取了约1000万份文件，涉及超过30万人的敏感数据。

🧑‍💼NCSC-FI的角色：芬兰国家网络安全中心（NCSC-FI）作为最高参与级别介入事件，提供技术修复、合规、沟通等支持。NCSC-FI为赫尔辛基市的调查提供建议，协助策划新闻发布会，并于5月底协调举办了专家研讨会，分享经验教训。

💡经验教训：NCSC-FI高级专家梅西娅分享了三大收获：边缘设备（尤其是未打补丁或过时的设备）被入侵的网络事件应被视为严重事件；组织应为事件响应和业务连续性流程做好后勤准备；组织应在任务小组中纳入各种不同背景的人员。

📝个人建议：梅西娅还分享了给事件响应者的个人建议，包括保持聊天记录整洁、合作并委派任务、使用时间线、反复扫描网络、分享事件信息等，旨在提高事件响应效率和透明度。

📊未来发展：赫尔辛基事件促使NCSC-FI开发新的三级系统来评估网络事件，以确定机构应投入的精力。该框架将事件分为中等、高和关键优先级，以更好地应对未来的网络安全威胁。

HackerNews 编译，转载请注明出处：

赫尔辛基2024年发生的数据泄露事件影响了超过30万人的敏感个人信息，为网络安全专业人士提供了宝贵的教训。

芬兰安全调查局 (SIAF/OTKES) 对这起事件进行了长达一年的调查，并于2025年6月17日发布了技术报告。

芬兰国家网络安全中心（NCSC-FI）高级专家马蒂亚斯·梅西娅 (Matias Mesia) 领导了该机构的任务小组，协助赫尔辛基从泄露事件中恢复。

在6月23日于哥本哈根举行的FIRSTCON会议上，他分享了关于该事件的见解以及用于遏制和缓解泄露的策略，为面临类似网络安全挑战的其他人提供了实用指导。

关于赫尔辛基2024年数据泄露的见解

赫尔辛基拥有约4万名员工和4-5亿欧元（4.6-5.8亿美元）的预算，它不仅是芬兰的首都和最大城市（2025年3月吸引了全国12%的人口，即686,595名居民），也是该国最大的雇主。

4月30日晚上11点30分，赫尔辛基市有人向NCSC-FI报告了一起潜在的数据泄露事件。在次日（5月1日）早期媒体报道后，赫尔辛基于5月2日公开发布声明，确认泄露影响了该组织的教育部门（KASKO）。

在赫尔辛基市、NCSC-FI 以及一家私营数字取证和事件响应 (DFIR) 合作伙伴展开调查的数日内，受感染的设备被确认。这是一台由KASKO用作VPN连接接收路由器的思科ASA 5515防火墙设备。该硬件于2014年安装，最后一次更新是在2016年。2017年，负责该设备的人员离开了组织。

攻击者的作案手法也在调查早期被确认。攻击始于暴力破解，随后通过用户计算机与路由器之间的远程连接（利用思科AnyConnect软件）进行漏洞利用。设备崩溃后，攻击者（使用在暗网上找到的凭证登录）得以在内部系统中横向移动，并获得了对微软Active Directory、虚拟化服务器和备份服务器的特权访问权限，从而窃取数据。

赫尔辛基市很快意识到数据量相当巨大（约1000万份文件或2TB数据被盗），最初估计有12万人可能受影响，随后重新评估为15,000人，最终确定为超过30万人。

受害者范围广泛，包括城市雇员、儿童保育津贴申请人、私立学校工作人员、融合培训学生、2005年至2018年间出生的学生及其亲属等。

“然而，我们很早就知道没有密码被泄露，也没有收到勒索要求，”梅西娅在FIRSTCON的演讲中表示。

此外，至今未对事件进行归因。“警方仍在调查此案，”梅西娅在会后告诉Infosecurity。

NCSC-FI在事件响应过程中的角色

赫尔辛基数据泄露事件是NCSC-FI以最高参与级别（该机构称为“特殊案件”）处理的18起案件之一。

NCSC-FI于2024年5月9日开始协助赫尔辛基市，投入10至20名工作人员直至2024年6月，其中一半专注于技术修复，其余人员负责合规、沟通和数据泄露报告等各种任务。

在其各项贡献中，NCSC-FI为赫尔辛基市的调查提供建议，协助策划新闻发布会，提供定制场景，并于2024年5月底协调举办了一场专家研讨会，参与者包括芬兰各市镇的管理团队和安全专家。

2024年5月30日，NCSC-FI工作人员举行了一次内部“经验教训”会议，涵盖五个领域，后来形成了五份专题“经验教训”报告：

组织、协调与领导报告案件协调报告技术报告法律报告沟通报告

NCSC-FI成员继续向赫尔辛基市提供IT技术指导，直到6月底案件“平息下来”，正如梅西娅在FIRSTCON上所言。

“我们还发布了一份40页的文件，介绍如何创建高效的事件响应任务小组，”梅西娅补充道。

2024年7月，SIAF开始了自己的取证调查。

经验教训与未来发展

梅西娅在接受Infosecurity采访时分享了他在赫尔辛基案件中的三大收获：

涉及边缘设备（尤其是未打补丁或过时的设备）被入侵的网络事件应被视为严重事件。组织应为事件响应和业务连续性流程做好后勤准备，包括确定要使用的通信工具以及建立操作模板。组织应在任务小组中纳入各种不同背景的人员，包括有网络事件经验的人员和没有经验的人员。

此外，在演讲中，这位NCSC-FI高级专家分享了一些给事件响应者的个人建议：

保持聊天记录整洁——不发表情包，不闲聊。合作并委派任务。使用时间线，特别是向领导团队解释正在发生/已经发生的事情。反复扫描您的网络。在组织内部和公众中分享关于事件的信息——因为如果您不这样做，总会有人来填补信息真空。谨慎处理信息。尊重政治和媒体。

最后，梅西娅告诉Infosecurity，赫尔辛基事件促使NCSC-FI开发一个新的三级系统来评估网络事件，以确定该机构应投入多少精力（即应有多少NCSC-FI人员参与处理案件）。

该框架仍在开发中，但可能会将事件分为三个优先级：

中等优先级：由少数NCSC-FI工作人员处理。高优先级：由最多10名NCSC-FI工作人员处理。关键优先级：由超过10名NCSC-FI工作人员全力处理事件。

梅西娅宣布：“我认为明年在FIRSTCON上，我们可以准备一个很好的演示来介绍这个即将推出的框架。”

 

 

 

---

消息来源： infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文